Vous avez un iPhone et vous êtes friand de réseaux sociaux comme TikTok, Instagram, Facebook ou encore Snapchat ? Attention à vous : une faille de sécurité touche actuellement le système d’exploitation mobile d’Apple, et il y a un risque que certaines de vos données personnelles et autres habitudes de navigation soient mises en danger.

Cela peut paraître surprenant, car Apple est plutôt connu pour son efficacité en matière de sécurité des données. Pourtant, cela fait maintenant quelques jours qu’une fonctionnalité d’iOS est pointée du doigt pour son manque criant de fiabilité. Elle concerne les applications qui utilisent des navigateurs intégrés.

Quel est le problème avec TikTok et Instagram sur iPhone ?

Il vous est sans doute arrivé d’installer une application sur votre smartphone et que celle-ci, pour vous permettre de vous identifier avec votre compte, vous envoie sur une page de navigateur intégrée à son interface. C’est notamment ce que font TikTok, Instagram, Snapchat ou encore Facebook, y compris Messenger. À ce moment-là, ces applications injectent du code JavaScript dans des sites tiers, ce qui entraîne des risques potentiels pour la sécurité des données partagées à ce moment-là. Typiquement, l’identifiant et le mot de passe du compte sont concernés.

Ce constat, c’est le développeur Felix Krause qui l’a pointé du doigt le 10 août dernier, dans un article nommé « Confidentialité iOS : Instagram et Facebook peuvent suivre tout ce que vous faites sur n’importe quel site Web dans leur navigateur intégré à l’application ». Un résumé éloquent qui pointe du doigt une faille inquiétante sur iPhone, mais aussi sur iPad.

TikTok, l’une des applis les plus vulnérables

Pour aider les utilisateurs d’un iPhone à mesurer l’étendue des dégâts, Felix Krause a mis en ligne un site nommé InApBrowser, qui permet à tout le monde de tester ses applications préférées pour vérifier les commandes JavaScript qui y sont intégrées via le navigateur intégré.

Pour l’utiliser, il faut ouvrir l’application à analyser, puis utiliser une fonction à disposition pour envoyer l’adresse https://inappbrowser.com/ au sein de cette application, par exemple à l’aide d’une messagerie instantanée intégrée. Ensuite, en cliquant sur le lien, on a immédiatement accès à tous les détails du code, avec une mise en avant en rouge des points les plus problématiques.

Parmi les applications que le développeur a testées, on remarque que TikTok est l’une des pires en matière de confidentialité. C’est bien simple, lorsque vous êtes dans le navigateur, elle laisse tout filer : mot de passe, messages écrits au clavier, actions effectuées de manière tactile… « D’un point de vue technique, cela équivaut à avoir un enregistreur de frappe sur les sites Web tiers », résume Felix Krause.

De son côté, Instagram se paie le luxe de scruter les habitudes de navigation de l’utilisateur sans son consentement. Meta a déclaré ne rien faire des données récupérées, mais il n’empêche que cette faille lui donne la possibilité de récupérer des informations qui ne regarde en rien l’entreprise.

Que faire pour se protéger du problème ?

Felix Krause recommande aux possesseurs d’un iPhone de changer de navigateur par défaut, pour ne plus utiliser le navigateur interne des applications et privilégier celui d’iOS. Toutes les apps ne le proposent pas : c’est notamment le cas de TikTok, alors que c’est le service le plus problématique. Vous pouvez, en revanche, le faire pour Instagram, Facebook Messenger, Facebook, Amazon et Snapchat.

Il reste désormais à espérer que les applications concernées feront le nécessaire pour se mettre à jour et éviter une telle fuite d’informations. Apple a aussi un rôle à jouer dans cette affaire, qui ne fait pas briller sa politique en matière de sécurité des données.